Güvenlik 02 MAYIS 2011 / 16:28

BTnet.com.tr Analiz: Sony'nin özrü gölgesinde teknoloji ve kişisel gizlilik

İnceleme: Sony'nin özrü ve kişisel mahremiyet

Sony ve Amazon güvenlik ve sistem açıkları nedeniyle özür dilemesiyle Apple ve Google’ın kullanıcı konumlarını kaydetmesiyle ilgili basit açıklamaları kamuoyunu tatmin etmedi. Kullanıcıların da herhangi bir itiraz hakkı bulunmuyor. Peki, bu iş nereye gidiyor? Evren Gülyaşar'ın analizi.



Tarihin en büyük kullanıcı bilgi sızıntısına ev sahipliği yapan Sony, 77 milyon kullanıcısının kişisel bilgilerinin çalınmasından dolayı üzüntü duyduğunu dile getirdi. Ayrıca şirket PSN ve Qriocity servislerini “kısmen” kullanıma açacak. Saldırıların arkasındaysa Anonymous’un olduğuna dair bir kanıt bulunamadı.

Sony’nin PlayStation video oyun bölümünün başında yer alan Kazuo Hirai, sebep oldukları rahatsızlıktan dolayı derinden özür dilediklerini ifade etti. Ayrıca Hirai, kullanıcıların şifrelerini de değiştirmelerini kendilerinden rica etti.

Japon devi, bu hafta içinde PSN ve Qriocity servislerinin hesap detaylarına erişim, çevrimiçi oyun ve içerik satın alma bölümlerini tekrar açacağını duyurdu. Diğer servislerinse bir ay içinde tekrar kullanıma açılması bekleniyor.

Servislerin henüz tam olarak güvenli seviyeye gelmediğini açıklayan Sony, bu nedenle servisin kademeli olarak uygulamaya alınacağını bildirdi.

Ayrıca yaşanan güvenlik krizi nedeniyle piyasaya sürülmesi beklenen ve NGP olarak da bilinen yeni nesil PSP ve tablet bilgisayarların piyasaya çıkış tarihlerinde bir değişiklik olmayacağını aktardı.

Kredi kartı bilgilerinin çalınıp çalınmadığı hala bilinmiyor

10 milyon kredi kartı bilgisinin çalındığına dair bir ipucu bulamadıklarını açıklayan Sony yetkilileri, kullanıcılarının hesaplarındaki bilinmeyen oynamaları özellikle takip etmeleri gerektiğini konusuna dikkat çekti.

Bu arada bazı kullanıcılar hesaplarında bilmedikleri bazı hareketler olduğunu dillendirmeye başladı. Tabii 10 milyon kullanıcının hesaplarındaki oynamaları kontrol ederek bunu kamuoyuna duyurabilmesi zaman alacak.

FBI şu anda Sony’nin San Diego’da bulunan veri merkezinde çalışmalarını sürdürüyor.

Saldırıyı Anonymous mu düzenledi?

Sony’nin PlayStation platformunu hack’layarak sistemi korsan oyunlara açan iki hacker için dava açması üzerine sert açıklamalarda bulunan Anonymous grubu, bu saldırıyla ilgisi olmadığını açıklamıştı. Yine de oklar adını Wikileaks skandalında Julian Assange’ın arkasını kollamasıyla tanınan siber saldırı gurubu Anonymous’a çevrildi.



Sony konuyla ilgili yaptığı açıklamasında daha önce sistemlerine saldıran aktivist grubun bu seferki saldırıda izine rastlamadıklarını duyurdu. Saldırının bugüne kadar görülenlerden daha farklı olduğu ve kaynağının henüz belirlenemediği açıklandı.

Anonymous da Sony'ye saldırmak istediklerini, ancak milyonlarca kullanıcıya haksızlık etmenin kendi özgürlük anlayışlarıyla tutarlılık göstermeyeceğini ifade etmişti.

Sistemin yeniden çalışacağının açıklanmasıyla Sony hisseleri değerlendi

PSN’in saldırıya uğramasının ardından Sony hisseleri yaklaşık yüzde 5 oranında sert bir düşüş yaşamıştı. Ancak servislerin kısmen de olsa hizmete açılmasının ardından hisseler yüzde 2 artarak biraz olsun toparlandı.

Uzmanlara göre, rakamlar tam olarak bilinemese de bu kriz Sony’e on milyarlarca yene mal olacak. Görünen o ki 11 Mart'ta gerçekleşen deprem ve tsunami dev şirketi zor duruma sokarken, üzerine güvenlik krizi de eklenince şirket çok daha zor bir duruma düştü. İşin maddi boyutu bir yana, kullanıcıların tekrar Sony'e güvenmesi zor görünüyor.

Kimlik hırsızlıklarına rağmen sanal ortamda bilgileri paylaşmaya devam ediyoruz

Bireysel ya da toplu kimlik hırsızlıkları internette sıkça başımıza gelmeye başladı. Peki bu durum bizim bilgilerimizi paylaşarak alışveriş, arkadaşlarla sohbet, yeni insanlar tanıma ya da oyun oynama dürtümüze mani oldu mu? Hayır. Bilgilerimizin çalınmasından rahatsız olsak da paylaşmaktan da vazgeçemiyoruz.



Örneğin AT&T’nin web sitesi, saldırıya uğradığı dönemde 100 bin iPad sahibinin e-posta adresini saldırganlara kaptırmıştı. Ancak kimse iPad alırken AT&T kullanmaktan vazgeçmedi. Şirket bu durumdan önemli bir yara almadan sıyrılmayı başardı.

İnternet gizlilik uzmanı Jim Dempsey, interneti sık kullanan toplumların artık bilgi hırsızlığına karşı paranoyak hale geldiğinin altını çizerken, “Seviyor, kullanıyor, iş yapmayı umuyor ve günlük hayatımızın profesyonel, sosyal ve kişisel olarak bir parçası haline getiriyoruz. Ama gerçekte güvenmiyor ve bilgilerimiz çalındığına sinirleniyoruz” diyor.

Bulut üzerinden hizmet, kişisel bilgilerin ve kullanıcı haklarının önüne mi geçiyor?

Bunun yanında bilgilerimiz çalınmasa bile birçok şirket yasal yollardan bizleri takip ediyor. Örneğin Yahoo ve Google insanların aramalarını 18 boyunca saklayarak daha iyi hizmet verdiğini iddia ediyor. Facebook kullanıcı bilgilerini reklamverenlere satmadığını ifade ederken kendimizi Facebook sütunlarında profil fotoğraflarımızla görebiliyoruz. Bu gibi durumların önünde hiçbir yasal engel bulunmuyor.

Bu örneklerin yanında Apple ve Google’ın akıllı telefon işletim sistemleri üzerinden kullanıcı hareketlerini takip ettiklerinin ortaya çıkması da büyük bir infiale yol açmıştı. İki şirket de kullanıcı sözleşmelerine dayanarak basit özürlerle konuyu kapatmaya çalıştı.



Bulut bilişim hizmetleri sunan en önemli şirketlerin başında gelen Amazon da hizmet veremediği 10 günlük süre için FourSquare, Reddit gibi önemli şirketlerden sadece özür dileyerek altyapı yatırımlarını arttırarak sorunun bir daha tekrar etmemesini sağlamak istediğini açıkladı.

Bu şirketlerin tek sıkıntı yaşabilecekleri nokta; bir güvenlik sızıntısı ya da sistem hatası nedeniyle bilgilerin çalınması olarak görülüyor. Çünkü çoğu kullanıcı üyelik sözleşmelerinin maddelerini okumadan onaylıyor.

Geliştirilen sistemlerin bulut bilişim temeli üzerine inşa edildiği görülüyor. Kullanıcıların kişisel bilgileri, tüm içerik ve finansal hareketler bulut üzerinde servis olarak veriliyor. Bu bilgilerin çalınması durumunda servisi veren şirketin nasıl bir yasal yaptırımla, hangi ülke kurallarına göre yargılanacağı bilinmiyor. Şu anda kullanıcıların istemediği bilgilerin kullanılması ya da bilgi sızıntıları gerçekleştiğinde gerçekleştirebilecekleri bir yasal yaptırım ya da kazanılmış bir hak bulunmuyor.